首页 > 本地信息 / 正文
《梦幻诛仙手游》是由祖龙(天津)科技有限公司研发的一款3D角色、2D场景的回合制手游。该作由腾讯游戏运营,自2016年12月正式公测以来,凭借着良好的游戏性和稳定性,成功延续了网游IP的火爆人气,在今年年初斩获风云榜十大最受欢迎手游奖,也成为了国内端游移植手游的成功范例之一。
据悉,在《梦幻诛仙手游》正式上线前,就与腾讯WeTest手游安全测试团队合作,对自身游戏的安全性进行了系统检测,在技术上保证了手游上线后的良好游戏体验,最大程度完成了原有IP粉丝的转化积累。腾讯WeTest从2011年初就开始对手游安全测试进行探索和技术积累,该测试已经逐渐成为腾讯在研和运营手游项目上线前的必经环节。目前,腾讯WeTest手游安全测试服务已经通过腾讯云全面开放,服务广大的游戏项目。
腾讯云上的WeTest到底是怎样保障游戏的安全质量?我们向腾讯WeTest团队成员进行了详细访谈,希望从火热游戏《梦幻诛仙手游》的案例中,挖掘出更多内容。
一问:WeTest测试服务是如何针对手游进行测试的?
答:WeTest手游安全测试团队基于对腾讯游戏多年的测试经验,归纳出手游安全漏洞主要出现在客户端、游戏逻辑和服务器三个层面,因此WeTest测试服务会从三个层面出发,根据不同手游玩法制定对应的策略以达到整体与侧重兼顾的检测效果。
其中,客户端层面的检查项主要有游戏数据加密、游戏协议保护、变速判定、敏感日志四类监测内容;游戏逻辑安全层面的检查则包含了系统架构、盗刷漏洞和外挂漏洞三类直接关乎游戏平衡和盈利根本的内容;服务器安全层面则对服务器宕机漏洞进行专项检测,为游戏树立阻挡恶意攻击的高墙。
二问:WeTest手游安全测试团队对《梦幻诛仙手游》进行了哪些重点测试?
答:考虑到不同手游玩法检测需要使用不同的技术实现,因此在《梦幻诛仙手游》安全测试之初,团队对游戏进行了详细的分析与拆解,并制定了有针对性的测试策略。
由于《梦幻诛仙手游》核心玩法包括回合制的PVP与多人PVE,战斗实时性要求很弱,客户端的每次操作均有协议上报,属于服务器强校验游戏。因此,手游测试团队确定了协议安全的测试方法为主,函数修改与内存修改测试方法为辅的策略。
以《梦幻诛仙手游》某个版本为例,手游测试团队根据迭代新增内容,聚焦了以下测试重点:
1、经济系统:商会、商城、摆摊、交易行、背包出售。
2、战斗力相关:角色属性,技能、装备、法宝、羽翼、宠物、仙侣等。
3、进行0、负值,数据溢出攻击,并发等漏洞挖掘方式。
三问:在《梦幻诛仙手游》的安全测试中,WeTest手游团队遇到的最大难题是什么?
答:在团队服务《梦幻诛仙手游》的过程里,如何在短时间内全面地完成全量内容的安全漏洞挖掘是当时面临的最大挑战。
由于《梦幻诛仙手游》属于重度MMORPG游戏,游戏功能系统包含战力成长相关系统、交易系统、宠物系统、门派、上古战场、世界BOSS、跨服战、家园系统,各种类型副本以及运营活动等超过50个功能系统,短时间完成全量检测难度极大。
而WeTest手游安全测试团队采取的是全量自动化分析检测结合风险性优先级评估深度分析的方式解决这一难题:一方面利用智能自动化检测锁定系统、盗刷、拒绝服务攻击等漏洞,另一方面则对高风险高优先级的功能系统如战斗系统、成长系统、交易系统等采取专项分析和漏洞挖掘,同时完成了对游戏核心功能深度检测和整体系统的全方位检测。
四问:测试团队最终发现了《梦幻诛仙手游》哪些严重BUG?
答:在根据测试前分析确定测试重点后,我们利用安全测试工具对《梦幻诛仙手游》的风险项目进行了逐一验证,发现了两类致命级漏洞,而这两类漏洞均在测试阶段发现,并在版本发布前已全部修复,在此仅作为案例分享。
致命安全风险一:角色属性系统
检测结果显示,《梦幻诛仙手游》角色属性加点对各个正常逻辑字段均有校验,唯独对加点数值未做负值判断和溢出处理,导致可以通过发送负值获得超大正值结果,从而获取更多点数分配到主要属性,严重破坏游戏玩法。
降低其他成长属性从而增强主要成长属性
物攻职业削减法术属性以增强其他战斗属性
致命安全风险二:宠物系统
前期测试中,《梦幻诛仙手游》的宠物系统也出现了与一同样的问题——对加点数值未做负值判断和溢出处理,导致修改次要属性为负值可以获取更多点数分配到主要属性。
宠物加点协议发送一键异常值后导致宠物战力猛增,宠物直接战斗无敌。通过录制宠物加点协议,然后修改value字段的值为2147483647,导致宠物战力值异常增大,严重影响游戏平衡。
通过修改数值导致宠物战斗力异常增大
五问:WeTest手游安全测试如何处理这些漏洞?
答:对于盗刷类漏洞,我们建议游戏开发团队在研发初期要规范游戏通信协议定义,对协议结构中字段数和字段类型进行安全性检查。在面对服务器,理购买、结算等物品发放请求时,需要加强对请求中各项信息合法性校验,另外运营侧可以接入运营经分系统,对各种道具和金钱的产出进行实时监控与告警。
而对于宕机类漏洞修复起来比较简单,在因程序健壮性导致的服务器宕机漏洞被检测出之后,针对性做好异常值处理就能够修复。
六问:《梦幻诛仙手游》进行安全测试的最终结果是怎样的?
答:在《梦幻诛仙手游》项目测试阶段,手游安全测试团队累计挖掘出了20个致命级漏洞,19个高危级漏洞,28个中危级漏洞,将游戏中潜在的盗号、物品盗刷、伪造身份、服务器宕机等各类致命级、高危级漏洞提前揭露出来,提前制定修复方案进行修复,并评估和验收结果与风险,为《梦幻诛仙手游》上线半年来稳定运行提供了坚实的技术保障。
关于腾讯云手游安全测试
腾讯云手游安全测试(SecurityRadar),是由腾讯游戏WeTest团队开放的独家手游安全漏洞挖掘技术,能够有效杜绝游戏外挂损失。产品为企业提供私密安全测试服务,通过主动挖掘游戏业务安全漏洞(诸如钻石盗刷、服务器宕机、无敌秒杀等40多种漏洞),提前暴露游戏潜在安全风险,提供解决方案及时修复,最大程度降低事后外挂危害与外挂打击成本。
腾讯云上的WeTest测试服务目前包括手游安全测试、手游兼容性测试、专家兼容性测试和远程调试服务。其中,手游安全测试服务已为部落冲突、保卫萝卜3、皇室战争、王者荣耀、梦幻诛仙等著名手游IP提供了可靠保障。
责编:汉网
(原标题:六问腾讯云手游安全测试:如何在上线前就为《梦幻诛仙手游》诛灭外挂)
猜你喜欢
- 搜索
-
- 04-17天津市委大大、市长的一次特别“逃出游客旅馆推介活动”
- 04-17天津航空一旅客向飞机数独原始版发动机扔硬币被警方带走_航空
- 04-17记外交部天津全球推介活动:扩大对外开放,深度融入一中国龙消消看带一路建设
- 04-17天津重拳问责 民主生活会上红眼眶的色系军团漫画全集他被一撸到底
- 04-16世界你好 我是网通传奇33wt纯网通天津
- 04-13天津天海球迷中超联赛后殴打泰安杰利娜朱莉达球迷 主犯被刑拘
- 04-12视觉中国“海绵宝宝找不同黑洞”发酵:天津网信办深夜约谈 网站关闭整改_双创
- 04-12天津网信办连夜约变成女友的那一天谈视觉中国 责令全面彻底整改
- 04-09天津杀人疑原始人玩坚果案:留余地判决再现 老母为儿申诉十载
- 04-08天津一莫桑比克射击法五金城冒浓烟 消防:PVC软管着火 无伤亡
- 1000℃环结束的英文单词保刚性督查值得称道
- 1000℃无声世界默默耕耘sun28载
- 1000℃中央巡视"藏红花的功效与作用回马枪",威力到底有多大?
- 1000℃昆锰铁明游客旅行幸福指数位居全国第二
- 1000℃重生之皇马老板南北全幅双向通车(图)
- 1000℃10人因仿真枪受审 主犯涉枪超6支最高新郎穿胸罩敲脸盆游街或判20年
- 1000℃端午全国接待游客8260云天化什么时候开盘万人次,出境游增长7.2%
- 1000℃实地纽约伦敦同步亮相 智f1意大利车队洗牌慧人居首度向世界发声
- 1000℃全国体育院校游泳锦标赛在日照开幕 比铝热剂并不单指赛历时4天
- 1000℃六问腾讯云手游安全测试:如何在上线前就为《梦幻冰岛神狙是谁诛仙手游》诛灭外挂
- 06-01司马炎在刘禅死后特意放下三物随葬,蜀汉故臣羞愤的直跺脚
- 06-01古代的“一两银子”相当于现在多少人民币!
- 06-01康熙为节俭只吃窝窝头,几天后,太监:继续吃下去国家就没钱了
- 05-31揭秘商鞅变法:残酷是强国之道还是祸国之道?
- 05-31南京保卫战后,杜聿明发现一份日军记录,惊道:原来是真的
- 05-31三国说11│一同见证当年的“最强大脑”!
- 05-31第十八章 招贤(二)众谋士 2荀彧与荀攸
- 05-31冤枉了曹操1800年的华佗之死
- 05-31合阳历史名人——大宋五杰
- 05-31甘肃卓尼县白石崖寺老照片
- 标签列表
-
- 天津 (1302)
- 中超 (399)
- 权健 (388)
- 京津冀 (340)
- 历史 (314)
- 天津权健 (293)
- 天津市 (275)
- 高考 (243)
- 恒大 (215)
- 全运会 (206)
- 期货 (201)
- 泰达 (193)
- 雄安新区 (140)
- 北京 (137)
- 大大 (134)
- 滨海新区 (133)
- 乐视 (128)
- 天津泰达 (126)
- 广州恒大 (125)
- 万科 (122)
- 外语 (119)
- 上港 (115)
- 融资 (114)
- 共享单车 (110)
- 国安 (110)
- 中国 (110)
- 苏宁 (109)
- 楼市 (108)
- 鲁能 (107)
- 新疆 (104)
- 经济 (103)
- 重庆 (102)
- NBA (101)
- 帕托 (99)
- 清朝 (95)
- 生意 (89)
- 上海上港 (89)
- 旅游 (87)
- 股权 (86)
- CBA (86)